1. はじめに
OWASP Top 10は、Webアプリケーションにおける最も重大なセキュリティリスクを10のカテゴリに整理した文書であり、防御を設計する際の基準として世界中で広く参照されています。2025年版では、分析対象のCWE(ソフトウェアやハードウェアにあるセキュリティ上の弱点の種類を体系的に分類したリスト)が589件に増加し、データ収集対象アプリも280万件以上に拡大しました。これは、攻撃者が実際に悪用している現実のリスクがより正確に反映されたということを表しています。
しかし、攻撃者はOWASP Top 10の順番通りに攻撃するわけではありません。彼らは、「突破しやすいところから攻める」という極めて合理的な行動を取ります。
本記事では、攻撃者の視点を踏まえつつ、防御側がどのように優先順位を再設計すべきかを解説します。
2. OWASP Top 10 2025の本質:症状ではなく根本原因へ
OWASP Top 10 2025年版の大きな特徴は、症状ではなく根本原因に焦点を当てた再編にあります。
攻撃者は、表面的な脆弱性よりも、根本的に崩れている部分を探します。というのも、攻撃は一つの表面的な脆弱性を突くだけでは成功しないからです。大規模なインシデントの裏には、必ず致命的な根本原因があります。
2025年版での目立った変更としては、サーバに内部向けのリクエストを送らせてしまう「SSRF(サーバサイドリクエストフォージェリ)」が単独カテゴリから消え、「アクセス制御の不備」に統合されたことや、「脆弱または古いコンポーネント」がサプライチェーン全体の問題として再定義されたこと、「コード品質問題」が「例外処理の不備」として扱われるようになったことなどが挙げられます。
そして、これらはすべて、「攻撃者は根本原因を突く」という現状を反映しているのだと言えます。
3. 特に対策したい項目
この章では、OWASP Top 10 2025年版の中でも根本原因に関するものや前回から大きな変更点のあった項目を中心に取り上げ、攻撃者の視点を踏まえた防御の方法を解説します。
OWASP Top 10の前回版との簡単な比較は以下の通りです。
表1 OWASP Top 10 2021年版と2025年版の比較
以上の項目について、特に順位や扱う範囲に「症状ではなく根本原因へ」という観点から変更のあるとみられる、「アクセス制御の不備」「セキュリティ設定不備」「サプライチェーンの不備」「暗号の不備」「例外処理の不備」を取り上げます。さらに、AI生成コードのリスクが「Next Step」として追加されたことをふまえ、「AI生成コードへの不適切な信頼」についても扱います。
3.1. A01 アクセス制御の不備(Broken Access Control)
アクセス制御の不備は2021年版から引き続き1位を維持しており、さらにSSRFが統合されました。これは、攻撃者にとって、アクセス制御の不備が依然として「一発で内部に到達できる最短ルート」だからです。権限チェックの抜け漏れや内部APIの保護不足、クラウド環境のメタデータサービスへのSSRFは、攻撃者にとっては誰にも気づかれずに侵入できる裏口のように機能してしまいます。
対策
►自分で複雑なアクセス制御を作らず、既存のフレームワークを使う
フレームワークには最初から安全な仕組みが用意されているので、それを使うことで設定ミスや抜け漏れを防げます。
►社内だから安全だという前提を疑う
内部向けAPIであっても、外部サービスと同じようにしっかり認証や権限チェックを行う「ゼロトラスト」の考え方が必要になります。
►アクセスできるURLを厳しく制限したり、クラウドのメタデータサービスへのアクセスを遮断したりする
SSRFのように内部ネットワークへ勝手にアクセスされるリスクに対しては、そもそもの入口を閉じる対策が効果を発揮します。
3.2. A02 セキュリティ設定不備(Security Misconfiguration)
2025年版の調査では、テストされたアプリはすべて、何らかの設定ミスを抱えていたと報告されています。つまり攻撃者は、「設定の隙を探せば必ず何か見つかる」という前提で動ける状況です。クラウド環境では設定項目が膨大になり、人間がすべてを正しく管理し続けるのはほぼ不可能です。そのため攻撃者にとっては、設定の穴を見つけるだけで内部に侵入できる可能性がある、非常に効率の良い攻撃手法になっています。
対策
►設定を手作業で行わない
設定内容をコードとして管理するIaC(Infrastructure as Code)を使えば、変更履歴を追跡でき、ミスにも気づきやすくなります。
►自動化できない場合は、年に一度は手動でチェックする
完全に自動化できない環境では、定期的な点検で設定ミスを早期に発見することが重要です。
►エラーメッセージを統一的に管理する
過剰なエラー表示は、攻撃者に内部情報を与える原因になります。そこで、エラー表示を中央でコントロールする仕組みを導入し、不必要な情報が漏れないようにします。
3.3. A03 サプライチェーンの不備(Software Supply Chain Failures)
2025年版では、このカテゴリの範囲が大きく広がり、攻撃対象はアプリ本体だけでなく、開発に使うあらゆるツールや仕組みにまで及ぶようになっています。具体的には、開発に使うIDEやCI/CD、コードを保存するレポジトリ、ソフトウェア部品表(SBOM)、依存ライブラリといった、開発プロセス全体です。攻撃者にとっては、開発プロセスのどこか一箇所を侵害するだけで複数のプロダクトに影響を与えられるため、非常に効率の良い攻撃手法になっています。
対策
►SBOMを中央で管理する
どのソフトウェアがどの部品を使っているのかを一元的に把握できるようにし、問題が起きたときにすぐ影響範囲を確認できるようにします。
►1人だけで本番環境を変更できないようにする
権限を分けて、必ず複数人でチェックする仕組みを作ることで、内部不正や単純なミスによる事故を防ぎます。
►CI/CDそのものを強化する
ビルドに署名を付けて改ざんを防ぐ、IAM(アクセス権限)を最小限に絞るといった対策で、開発プロセス全体の安全性を高めます。
3.4. A04 暗号の不備(Cryptographic Failures)
このカテゴリは、2021年版では2位だったほど重要なリスクで、2025年版でも依然として大きな脅威として扱われています。2025年版では、「暗号化されていない」だけでなく、鍵の扱い方や乱数の作り方、暗号モード、証明書の検証など、暗号の根本的な実装ミスまで含めて広くカバーするようになりました。実際には、暗号アルゴリズムそのものよりも、設定ミスや運用ミスが攻撃者の突破口になるケースが圧倒的に多いです。例えば、TLSの古い設定、STARTTLS、CBCモードなど、昔の暗号設定や、暗号化が途中で無効化されてしまう仕組みを使っていると、攻撃者に通信内容を盗み見られたり、改ざんされたりする危険性があります。
2025年版では、こうした古い設定や危険な方式をリスクの高い設定として注意喚起しています。
対策
►TLSは1.2以上を使い、前方秘匿性(PFS)を必ず有効にする
これが現代の暗号通信の基本です。
►暗号鍵はHSMなどの専用ハードウェアで安全に管理する
鍵が盗まれたりコピーされたりするリスクを大幅に減らせます。
►パスワードの保護方式を強化する
従来のbcryptから、より強力なArgon2やyescryptへの移行が推奨されています。
►量子コンピュータ時代を見据えて、耐量子暗号(PQC)の準備を進める
将来、現在の暗号が破られる可能性を考え、早めに移行計画を立てておくことが重要です。
3.5. A10 例外処理の不備(Mishandling of Exceptional Conditions)
2025年版では、2021年版で扱われていたSSRFに代わって、例外処理やロジックの不備そのものが新しいカテゴリとして追加されました。例えば、NULLポインタの扱いミス、認可チェックでエラーが起きたときにデフォルトで許可してしまう(フェイルオープン)、権限が足りないのに処理を続けてしまう、といった動作です。しかし実際には、エラーメッセージから内部構造を推測されたり、本来アクセスできない領域に侵入されたりする重大なセキュリティ事故につながることがデータから明確になってきたため、独立したリスクとして扱われるようになったとみられます。
対策
►アプリ全体で例外処理を統一する(グローバル例外ハンドラ)
どこで予期しないエラーが起きても、安全な状態で処理を止められる仕組みを用意することが重要です。
►エラーが起きたら必ず安全側に倒す(フェイルセーフ)
誤ってアクセスを許してしまうような挙動を避け、エラー時は必ず拒否するというルールを徹底します。
►開発段階で静的解析を活用する
フェイルオープンのような危険な挙動が紛れ込んでいないか、自動でチェックする仕組みを強化し、ロジックバグを早期に発見します。
3.6. X03 AI生成コードへの不適切な信頼(Inappropriate Trust in AI Generated Code('Vibe Coding'))
こちらは厳密にはOWASP Top 10にランクインしている項目ではありませんが、開発現場においても急速にAIの使用が広まっている現状を鑑み、取り上げます。
2025年版では、AIが生成したコードをそのまま信用して使ってしまうことが、新しいリスクとして正式に取り上げられました。これはAIそのものの問題ではなく、「AIが書いたコードを十分に確認せずに採用してしまう」という人間側の運用ミスが焦点です(OWASPはこれを 「雰囲気コーディング(Vibe Coding)」 と呼んでいます)。AIが生成したコードは、人間が書いたコードよりも脆弱性が入り込みやすいことが指摘されています。特に、AIに与える指示文を悪用して意図しない動作をさせる「プロンプトインジェクション」は、インジェクション攻撃の新しい形として注目されています。そのため、AIを使った開発では、生成されたコードをそのまま信用しないことが前提になりつつあります。
対策
►AIが生成したコードは必ず人間がレビューする
AIもミスを生む可能性があります。人の目で確認することが欠かせません。
►静的解析ツールで自動チェックを行う
人間のレビューだけでは見落としが出るため、レビューと静的解析の二段構えが必要です。
►AIに安全なコーディング規約を参照させる(RAGの活用)
RAGを使って、AIが常にセキュアコーディングガイドラインを参照するようにすれば、安全性の低いコードが生成される可能性を減らせます。
►シャドーAI(未管理のAIツール)を排除する
組織が把握していないAIツールを勝手に使うと、情報漏えいや不適切なコード生成につながります。利用するAIは必ず統制下に置くことが重要です。
4. 結論
以上の内容から明らかなように、これらのリスクに共通するのは「人間の判断や運用の隙を突かれる」という点であり、技術と運用・設計・組織体制の両面から対策を講じる必要があります。つまり、セキュリティ対策は個別の脆弱性に対応するだけでは不十分であり、開発プロセス全体を通じた包括的な取り組みが不可欠です。
OWASP Top 10は、その包括的な取り組みの指針となるスタートラインです。
OWASP Top 10が2025年版で大きく再編された背景には、攻撃者が狙うのは個々の脆弱性そのものではなく、設計や運用に潜む根本原因であるという現実があります。アクセス制御の不備やセキュリティ設定不備のような構造的な弱点、暗号の不備やソフトウェアサプライチェーンの不備のような基盤的な欠陥、そして例外処理の不備のようなエラーへの甘さは、攻撃者にとって最初に侵入するための穴ではなく、すでに侵入した攻撃者がより深く・より重大な被害につなげるために使う弱点です。
だからこそOWASPは、症状ではなく原因に基づいてカテゴリを分類し直し、防御側が攻撃の深刻化を防ぐための本質的な改善に向き合えるように再編したと言えます。
また、攻撃者視点を取り入れることで、防御の優先順位は驚くほど明確になります。攻撃者がどこから入り、どこで移動し、どこを奪えば最大の影響を与えられるかを理解すれば、限られたリソースでも守るべき場所は自然と定まります。
つまり、OWASP Top 10を単なるチェックリストとして消化するのではなく、攻撃者の視点で読み解き、業界特性に合わせて優先順位を再構築することが、2025年版を活かす鍵になります。防御側が根本原因に向き合い、攻撃者の思考を取り入れ、業界固有のリスクに合わせて戦略を組み立てるとき、OWASP Top 10は「守りの指針」として真価を発揮するのです。
5. 参考資料
OWASP Top 10:2025
https://owasp.org/Top10/2025/
6. SSKの総合セキュリティサービスについて
SSKでは総合セキュリティサービスとして、セキュリティ運用監視サービス、脆弱性診断サービス、デジタル・フォレンジックサービスなどのセキュリティサービスを展開しております。
セキュリティ運用監視サービスでは、24時間365日、リアルタイムでセキュリティログの有人監視を行っております。サイバー攻撃対策としてセキュリティ機器を導入しても、継続的な運用監視と分析・判断が伴わなければ十分な効果は得られません。セキュリティ運用監視サービスでは、不審な通信やアラートを継続的に分析し、迅速な通知によって、インシデント発生時に適切に対処できるよう支援いたします。
脆弱性診断サービスでは、お客様のシステムを診断し、検出された脆弱性への対策をご提案させていただいております。テレワークの常態化やIoT等のデバイスの多様化が進む昨今、特定の攻撃経路だけを想定した「境界防御」に加えて、脆弱性を把握・管理・対処する『本質防御』も必須となっています。脆弱性診断サービスのご活用により、お客様のシステムにおける脆弱性の存否が明らかになります。
デジタル・フォレンジックサービスでは、万が一のインシデント発生時に、コンピュータやセキュリティ機器などに残された情報を分析し、侵入経路や情報窃取の痕跡等を特定するフォレンジックサービスを提供しております。また、平時の備えとして証拠保全の訓練などを実施する事前アドバイザリーサービスも提供しております。
これらの当社総合セキュリティサービスにより、インシデントの予防と、発生時の迅速な対処を両立し、対策コストや被害の抑制に貢献します。
【参考URL】
セキュリティ運用監視サービス:
https://www.ssk-kan.co.jp/e-gate#e-gate--02
脆弱性診断サービス:
https://www.ssk-kan.co.jp/vulnerability-assessment
デジタル・フォレンジックサービス:
https://www.ssk-kan.co.jp/digital-forensics
※本資料には弊社が管理しない第三者サイトへのリンクが含まれています。各サイトの掲げる使用条件に従ってご利用ください。
リンク先のコンテンツは予告なく、変更、削除される場合があります。
※掲載した会社名、システム名、製品名は一般に各社の登録商標 または商標です。
≪お問合せ先≫
サービス&セキュリティ株式会社
〒151-0051
東京都渋谷区千駄ヶ谷5丁目31番11号
住友不動産新宿南口ビル 16階
TEL 03-4500-4255
FAX 03-6824-9977
sales@ssk-kan.co.jp